AMLA-Leitlinien zur laufenden Überwachung von Geschäftsbeziehungen gemäß Art. 26 Abs. 5 GWVO

AMLA-Leitlinien zur laufenden Überwachung von Geschäftsbeziehungen gemäß Art. 26 Abs. 5 GWVO

Die Entwurfs-Leitlinien der Anti-Money Laundering Authority (AMLA) zur laufenden Überwachung von Geschäftsbeziehungen gemäß Art. 26 Abs. 5 der Verordnung (EU) 2024/1624 (GWVO) stellen einen der wichtigsten Umsetzungsschritte im Rahmen des neuen europäischen Geldwäschepräventionsregimes dar.

Artikel 26 GWVO verpflichtet Verpflichtete dazu, Geschäftsbeziehungen sowie die von Kunden durchgeführten Transaktionen fortlaufend zu überwachen. Auf den ersten Blick mag dies wie eine Fortführung des klassischen Transaktionsmonitorings und der regelmäßigen Aktualisierung von KYC-Daten erscheinen. Die AMLA verfolgt jedoch einen deutlich umfassenderen Ansatz.

Die Leitlinien entwickeln die laufende Überwachung zu einem ganzheitlichen Customer-Lifecycle-Framework weiter. Dieses verbindet Customer Due Diligence (CDD), Kundenrisikoklassifizierung, periodische Überprüfungen, anlassbezogene Überprüfungen, Transaktionsmonitoring, Aktivitätsmonitoring, sanktionsbezogene Risikoindikatoren, Alert-Management, Eskalationsprozesse, Technologie-Governance und Wirksamkeitstests zu einem integrierten Gesamtsystem.

Für Kreditinstitute, Zahlungsinstitute, Kryptowerte-Dienstleister, Wertpapierfirmen, Versicherungsunternehmen, Immobilienunternehmen, Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer und sämtliche sonstigen Verpflichteten ist die Botschaft eindeutig:

Die laufende Überwachung nach der GWVO ist künftig kein isolierter Transaktionsmonitoring-Prozess mehr. Sie bildet vielmehr das operative Steuerungs- und Kontrollsystem der gesamten GW/TF-Kundenbeziehung.

Was regelt Artikel 26 GWVO?

Artikel 26 GWVO befasst sich mit der laufenden Überwachung von Geschäftsbeziehungen sowie der Überwachung der von Kunden durchgeführten Transaktionen.

Verpflichtete müssen Geschäftsbeziehungen überwachen, um sicherzustellen, dass Transaktionen mit folgenden Faktoren übereinstimmen:

  • den Kenntnissen des Verpflichteten über den Kunden,
  • der Geschäftstätigkeit des Kunden,
  • dem Risikoprofil des Kunden,
  • gegebenenfalls den Informationen über Herkunft und Bestimmung der Gelder.

Darüber hinaus müssen Transaktionen erkannt werden, die einer vertieften Prüfung gemäß Artikel 69 Absatz 2 GWVO unterzogen werden müssen.

Zusätzlich sind Kundendokumente, Kundendaten und Kundeninformationen aktuell zu halten.

Der maximale Aktualisierungszeitraum beträgt:

  • ein Jahr für Kunden mit erhöhtem Risiko,
  • fünf Jahre für alle übrigen Kunden.

Artikel 26 GWVO verlangt außerdem anlassbezogene Überprüfungen, wenn:

  • sich relevante Umstände des Kunden ändern,
  • eine gesetzliche Verpflichtung zur Kontaktaufnahme mit dem Kunden besteht,
  • dem Verpflichteten neue relevante Informationen über den Kunden bekannt werden.

Schließlich führt Artikel 26 eine regelmäßige Überprüfung hinsichtlich gezielter Finanzsanktionen (Targeted Financial Sanctions – TFS) ein. Für Kreditinstitute und Finanzinstitute muss diese Überprüfung zusätzlich bei jeder neuen Sanktionslistung erfolgen.

Warum die AMLA-Leitlinien von zentraler Bedeutung sind

Die Entwurfsleitlinien sind deshalb von besonderer Bedeutung, weil sie konkretisieren, wie Artikel 26 GWVO in der Praxis umzusetzen ist.

Der Ansatz der AMLA basiert auf vier Grundprinzipien:

  • risikobasierte Anwendung,
  • Verhältnismäßigkeit,
  • sektorübergreifende Anwendbarkeit auf finanzielle und nichtfinanzielle Verpflichtete,
  • Technologieneutralität.

Die AMLA schreibt damit keine einzelne technische Lösung vor. Manuelle, teilautomatisierte und vollautomatisierte Monitoring-Systeme können gleichermaßen zulässig sein, sofern sie wirksam, dokumentiert, verhältnismäßig und geeignet sind, relevante Risiken der Geldwäsche und Terrorismusfinanzierung zu erkennen und zu eskalieren.

Besonders bedeutsam ist, dass die AMLA das traditionelle Verständnis von Monitoring erweitert.

Die Leitlinien sprechen nicht mehr ausschließlich von „Transaction Monitoring“.

Stattdessen führt die AMLA das Konzept des „Transaction and Activity Monitoring“ ein.

Dies stellt einen wesentlichen Paradigmenwechsel dar.

Viele Verpflichtete führen selbst keine Zahlungen oder Transaktionen aus. Relevante Risiken können sich für sie beispielsweise ergeben aus:

  • Kundenanweisungen,
  • Vollmachten,
  • Vermögenswerten,
  • Änderungen der Eigentums- oder Kontrollstruktur,
  • Änderungen der Geschäftstätigkeit,
  • auffälligen Verhaltensmustern,
  • sonstigen Ereignissen innerhalb der Geschäftsbeziehung.

Durch diese Terminologie wird Artikel 26 AMLR auf die gesamte Bandbreite der AMLR-Verpflichteten anwendbar.

AMLA-Leitlinie 1: Aktualisierung von Kundendokumenten, Kundendaten und Kundeninformationen

Der erste Hauptteil der AMLA-Leitlinien konzentriert sich auf die Aktualisierung von Kundendokumenten, Kundendaten und Kundeninformationen.

Hierzu gehören sowohl:

  • periodische Überprüfungen,
  • als auch anlassbezogene Überprüfungen.

Die aufsichtsrechtliche Grundannahme lautet:

Kundeninformationen dürfen nach dem Onboarding nicht statisch werden.

Die Customer Due Diligence muss während der gesamten Dauer der Geschäftsbeziehung korrekt, aktuell und risikorelevant bleiben.

Quellen zur Aktualisierung von Kundeninformationen

Verpflichtete können verschiedene Informationsquellen nutzen, um Kundeninformationen zu aktualisieren, darunter:

  • amtliche Register,
  • staatliche Datenbanken,
  • Datenbanken zuständiger Behörden,
  • seriöse kommerzielle Datenanbieter,
  • verlässliche öffentliche Quellen,
  • Informationen des Kunden selbst,
  • Informationen anderer Verpflichteter,
  • Kombinationen dieser Quellen.

Die Zuverlässigkeit und Unabhängigkeit der jeweiligen Quelle ist stets risikobasiert zu beurteilen.

Bestätigungen durch den Kunden können genutzt werden, reichen jedoch nicht automatisch in jedem Fall aus.

Je nach Risiko kann eine zusätzliche Verifizierung anhand unabhängiger und verlässlicher Quellen erforderlich sein.

Werden Informationen durch Vertreter des Kunden bereitgestellt, muss der Verpflichtete beurteilen, ob diese Person über die erforderliche Kenntnis und Vertretungsbefugnis verfügt.

Periodische Überprüfungen von Kundeninformationen

Periodische Überprüfungen bilden einen zentralen Bestandteil des Artikels 26 GWVO.

Die maximal zulässigen Aktualisierungsintervalle betragen:

KundenkategorieMaximaler Aktualisierungszeitraum
Kunden mit erhöhtem Risiko1 Jahr
Alle übrigen Kunden5 Jahre

Die AMLA stellt jedoch ausdrücklich klar, dass es sich hierbei lediglich um Höchstfristen handelt.

Abhängig vom individuellen Risikoprofil des Kunden können häufigere Überprüfungen erforderlich sein.

Eine periodische Überprüfung bedeutet nicht zwangsläufig eine vollständige Neuerhebung sämtlicher KYC-Daten.

Vielmehr soll der Umfang der Überprüfung risikobasiert ausgestaltet werden.

Bei Kunden mit geringem Risiko, bei denen keine neuen Aktivitäten festgestellt wurden und keine neuen Produkte oder Dienstleistungen in Anspruch genommen werden, kann eine verhältnismäßige Überprüfung beispielsweise Folgendes umfassen:

  • Abgleich mit Handels- oder Unternehmensregistern,
  • Überprüfung von PEP-Status,
  • Durchführung von Adverse-Media-Recherchen,
  • interne Bewertung, ob sich Zweck oder Art der Geschäftsbeziehung verändert haben.

Entscheidend ist nicht der Umfang der Überprüfung.

Entscheidend ist die Frage, ob das Institut weiterhin über ein zutreffendes Verständnis des Kunden verfügt.

Welche Informationen müssen im Rahmen periodischer Überprüfungen bewertet werden?

Die AMLA nennt eine Reihe von Informationen, die im Rahmen periodischer Überprüfungen berücksichtigt werden sollten.

Hierzu gehören insbesondere:

  • Identitätsdaten des Kunden,
  • Identitätsdaten natürlicher Personen,
  • Identitätsdaten wirtschaftlich Berechtigter,
  • Informationen über wirtschaftliches Eigentum,
  • Rechtsstatus juristischer Personen,
  • Vertretungsbefugnisse,
  • Zweck und beabsichtigte Art der Geschäftsbeziehung,
  • Informationen zur Herkunft der Gelder (Source of Funds),
  • Informationen zur Herkunft des Vermögens (Source of Wealth),
  • PEP-, Familienangehörigen- und Nahestehenden-Status.

Darüber hinaus kann die Transaktions- und Aktivitätshistorie genutzt werden, um zu beurteilen, ob die Herkunft der Gelder weiterhin mit dem bekannten Kundenprofil übereinstimmt.

Falls die vorhandenen Informationen nicht ausreichen, um die Herkunft der Gelder plausibel zu erklären, müssen zusätzliche Informationen eingeholt werden.

Anlassbezogene Überprüfungen

Einer der wichtigsten Bestandteile der AMLA-Leitlinien sind die sogenannten anlassbezogenen Überprüfungen.

Die AMLA verlangt von Verpflichteten die Einrichtung wirksamer Prozesse, Verfahren und Kontrollen zur Erkennung sogenannter Trigger Events.

Diese Ereignisse können sich ergeben aus:

  • Kundenverhalten,
  • Monitoring-Ergebnissen,
  • internen Kontrollaktivitäten,
  • externen Informationsquellen.

Sobald ein relevantes Ereignis erkannt wird, muss eine Überprüfung ohne unangemessene Verzögerung erfolgen.

Die AMLA betrachtet anlassbezogene Überprüfungen als gleichwertig zu periodischen Überprüfungen.

Tatsächlich sind sie häufig sogar wichtiger, da wesentliche Risikoänderungen typischerweise nicht nach Ablauf eines Kalenders, sondern aufgrund konkreter Ereignisse eintreten.

Beispiele für Trigger Events

Die AMLA nennt zahlreiche Beispiele für Ereignisse, die eine Überprüfung auslösen können.

Änderungen der Identität, Rechtsform oder Eigentümerstruktur

Hierzu zählen insbesondere:

  • Änderungen von Stammdaten,
  • Wechsel der Staatsangehörigkeit,
  • Wohnsitzwechsel,
  • Änderungen der Rechtsform,
  • Änderungen der Eigentümerstruktur,
  • Wechsel von Geschäftsführern,
  • Wechsel vertretungsberechtigter Personen,
  • Änderungen von Bevollmächtigten.

Verhaltensbezogene oder transaktionsbezogene Auffälligkeiten

Hierzu gehören beispielsweise:

  • ungewöhnliche Transaktionsmuster,
  • auffällige Verhaltensänderungen,
  • häufige und unerklärliche Wechsel professioneller Berater,
  • ungewöhnliche Änderungen von IP-Adressen oder Geräten,
  • Aktivitäten, die vom bisherigen Kundenprofil abweichen,
  • Aktivitäten, die nicht zum angegebenen Zweck der Geschäftsbeziehung passen.

Risikoerhöhende Informationen

Hierzu zählen unter anderem:

  • neue negative Medienberichte,
  • neue PEP-Eigenschaften,
  • Ermittlungsverfahren,
  • aufsichtsrechtliche Maßnahmen,
  • interne Hinweise,
  • Warnungen zuständiger Behörden.

Veränderungen der finanziellen Situation

Beispiele hierfür sind:

  • erhebliche Vermögensveränderungen,
  • Veränderungen von Finanzierungsstrukturen,
  • Änderungen der Vermögenszusammensetzung,
  • Kontrollwechsel,
  • Nutzung neuer Produkte,
  • Aktivitäten in Hochrisikoländern,
  • Geschäftsbeziehungen zu risikoreichen Gegenparteien.

Die zentrale Botschaft lautet: Kundenüberprüfungen dürfen nicht ausschließlich kalenderbasiert erfolgen.

Sie müssen auch auf relevante Ereignisse reagieren.

Erkennung von Trigger Events

Die AMLA erwartet von Verpflichteten die Einrichtung geeigneter Mechanismen zur Erkennung solcher Ereignisse.

Mögliche Informationsquellen sind:

  • interne Risikoindikatoren,
  • Meldungen von Mitarbeitern,
  • Monitoring-Alerts,
  • Adverse-Media-Systeme,
  • Handelsregister,
  • öffentliche Datenbanken,
  • Informationen von FIUs,
  • Mitteilungen von Behörden,
  • Steuerinformationen,
  • gruppenweite Informationssysteme,
  • Kundeninformationen.

Das Institut darf also nicht passiv auf den nächsten periodischen Review warten.

Es muss aktiv relevante Veränderungen erkennen können.

Umgang mit abgelaufenen Ausweisdokumenten

Ein besonders praxisrelevanter Aspekt der Leitlinien betrifft den Umgang mit abgelaufenen Ausweisdokumenten.

Die AMLA verlangt ausdrücklich keine automatische Neuerhebung sämtlicher abgelaufener Ausweisdokumente.

Stattdessen ist eine risikobasierte Bewertung erforderlich.

Zu berücksichtigen sind unter anderem:

  • Risiko des Kunden,
  • Risiko der Geschäftsbeziehung,
  • Risiko des Ausstellungsstaates,
  • Dauer des Ablaufs,
  • Sicherheitsmerkmale des Dokuments,
  • potenzieller Mehrwert eines neuen Dokuments,
  • Zweifel an Echtheit oder Aktualität der bestehenden Informationen.

Damit verabschiedet sich die AMLA von rein formalen Dokumentenabläufen und stellt die tatsächliche Risikorelevanz in den Mittelpunkt.

Aussetzung oder Einschränkung von Geschäftsbeziehungen

Die Leitlinien befassen sich ebenfalls mit Fällen, in denen Kunden angeforderte Informationen nicht bereitstellen.

Kann ein Institut die Kundeninformationen nicht aktuell halten, muss es grundsätzlich:

  • Transaktionen unterlassen,
  • die Geschäftsbeziehung beenden.

Vor einer Beendigung kann jedoch eine vorübergehende Einschränkung oder Aussetzung bestimmter Aktivitäten zulässig sein.

Dies gilt insbesondere dann, wenn:

  • Dokumente fehlen,
  • Bestätigungen des Kunden ausstehen,
  • der Kunde nicht reagiert,
  • Risiken weiterhin angemessen gesteuert werden können.

Die AMLA betont jedoch ausdrücklich: Eine Einschränkung ist keine dauerhafte Alternative zur Beendigung.

Kann ein Institut seine Sorgfaltspflichten dauerhaft nicht erfüllen, muss die Geschäftsbeziehung beendet werden.

Alle Bemühungen, die erforderlichen Informationen zu erhalten, sind nachvollziehbar zu dokumentieren.

Die zentrale Botschaft der AMLA-Leitlinie 1

Der vielleicht wichtigste Gedanke der AMLA-Leitlinie 1 lautet: Die AMLA betrachtet Kundeninformationen nicht als statischen Datensatz. Sie betrachtet sie als ein lebendes Risikomodell.

Kundendaten müssen daher während der gesamten Geschäftsbeziehung kontinuierlich gepflegt, überprüft und aktualisiert werden.

Erst auf dieser Grundlage kann das eigentliche Monitoring von Transaktionen und Aktivitäten sinnvoll funktionieren.

Ohne ein aktuelles Verständnis des Kunden verliert jede Form des Transaktionsmonitorings ihren Kontext.

Nachdem die AMLA in Leitlinie 1 die Aktualisierung von Kundendaten, Kundeninformationen und Kundendokumenten behandelt hat, widmet sich die AMLA in Leitlinie 2 dem eigentlichen Monitoring von Transaktionen und Aktivitäten.

Dabei wird deutlich: Die AMLA versteht Monitoring nicht als isolierte Überwachung einzelner Zahlungen.

Vielmehr soll ein integriertes Überwachungsframework entstehen, das das Verhalten des Kunden über die gesamte Dauer der Geschäftsbeziehung analysiert.

AMLA-Leitlinie 2: Grundprinzipien des Monitorings

Das Monitoring muss auf der institutsweiten Risikoanalyse (Business-Wide Risk Assessment – BWRA) aufbauen.

Es muss:

  • sämtliche Produkte und Dienstleistungen berücksichtigen,
  • sämtliche relevanten Kundengruppen erfassen,
  • relevante Risiken der Geldwäsche und Terrorismusfinanzierung abdecken,
  • Risiken der Umgehung gezielter Finanzsanktionen erkennen können,
  • flexibel auf neue Risiken reagieren können.

Die AMLA verlangt dabei kein bestimmtes technisches System.

Entscheidend ist allein, dass das gewählte Framework geeignet ist, relevante Risiken zu erkennen und angemessen zu behandeln.

Monitoring umfasst Transaktionen UND Aktivitäten

Eine der wichtigsten Neuerungen besteht darin, dass die AMLA nicht mehr ausschließlich von „Transaction Monitoring“ spricht.

Stattdessen verwendet sie konsequent den Begriff: Transaction and Activity Monitoring

Dies ist kein sprachliches Detail. Es handelt sich um eine bewusste regulatorische Erweiterung.

Viele Verpflichtete führen selbst keine Transaktionen aus.

Trotzdem können relevante Risiken entstehen durch:

  • Kundenanweisungen,
  • Vollmachten,
  • Vermögensbewegungen,
  • Änderungen wirtschaftlicher Aktivitäten,
  • Veränderungen von Eigentümerstrukturen,
  • Verhaltensänderungen,
  • Änderungen von Geschäftsmodellen.

Aus Sicht der AMLA müssen auch diese Aktivitäten überwacht werden.

Begrenzter Zugang zu Transaktionsdaten

Die AMLA erkennt ausdrücklich an, dass nicht alle Verpflichteten Zugriff auf umfassende Transaktionsdaten haben.

Dies betrifft insbesondere:

  • Rechtsanwälte,
  • Notare,
  • Wirtschaftsprüfer,
  • Steuerberater,
  • Immobilienmakler,
  • bestimmte Kryptowerte-Dienstleister,
  • weitere nichtfinanzielle Verpflichtete.

In solchen Fällen verlangt die AMLA alternative Überwachungsmaßnahmen.

Hierzu können gehören:

  • Analyse von Kundenverhalten,
  • Analyse von Dokumentationen,
  • Überprüfung von Weisungen,
  • Überprüfung von Vollmachten,
  • Überprüfung von Vermögenswerten,
  • Überprüfung von Gegenparteien,
  • Überprüfung von Finanzierungsstrukturen,
  • anlassbezogene Überprüfungen.

Die fehlende Verfügbarkeit von Transaktionsdaten entbindet somit nicht von der Überwachungspflicht.

Monitoring innerhalb von Gruppen

Besondere Aufmerksamkeit widmet die AMLA Konzernstrukturen.

Befindet sich ein Kunde gleichzeitig bei mehreren Unternehmen einer Gruppe in Geschäftsbeziehungen, sollen relevante Informationen gruppenweit berücksichtigt werden.

Dadurch soll verhindert werden, dass Risiken lediglich fragmentiert wahrgenommen werden.

Aus Sicht der AMLA muss das Monitoring möglichst auf einer konsolidierten Sicht des Kunden beruhen.

Intermediäre und Vermittler

Besonders relevant sind Geschäftsmodelle mit Intermediären.

Dies betrifft beispielsweise:

  • Korrespondenzbanken,
  • Zahlungsdienstleister,
  • Vermittler,
  • Broker,
  • Plattformanbieter,
  • Kryptowerte-Dienstleister.

Die AMLA verlangt, dass Verpflichtete die Risiken berücksichtigen, die sich aus den zugrunde liegenden Kunden dieser Intermediäre ergeben können.

Damit verschiebt sich der Fokus teilweise vom unmittelbaren Vertragspartner auf die dahinterliegenden wirtschaftlichen Aktivitäten.

Komplexe Produkte und Geschäftsmodelle

Für komplexe Geschäftsmodelle fordert die AMLA eine entsprechend komplexe Überwachung.

Explizit genannt werden:

  • Korrespondenzbankgeschäft,
  • Trade Finance,
  • Vermögensverwaltung,
  • Investmentdienstleistungen,
  • Nichtbanken-Finanzintermediäre.

Hier genügt die Betrachtung einzelner Transaktionen häufig nicht.

Stattdessen können erforderlich sein:

  • Analyse aggregierter Zahlungsströme,
  • Verhaltensanalysen,
  • Dokumentenanalysen,
  • Betrachtung von Strukturveränderungen.

Verstärkte Überwachung bei erhöhtem Risiko

Für Kunden mit erhöhtem Risiko fordert die AMLA eine verstärkte Überwachung.

Diese kann beispielsweise umfassen:

  • häufigere Überprüfungen,
  • engere Schwellenwerte,
  • zusätzliche Risikoindikatoren,
  • vertiefte Analysen,
  • längere Beobachtungszeiträume,
  • spezifische Szenarien.

Die Intensität des Monitorings muss dem jeweiligen Risiko angemessen sein.

Kundenprofile als Fundament des Monitorings

Einer der zentralsten Abschnitte der Leitlinien betrifft Kundenprofile.

Die AMLA verlangt, dass Monitoring-Systeme auf verifizierten Kundeninformationen basieren.

Das Kundenprofil soll unter anderem enthalten:

  • Zweck der Geschäftsbeziehung,
  • beabsichtigte Art der Geschäftsbeziehung,
  • erwartete Transaktionen,
  • erwartete Aktivitäten,
  • erwartetes Verhalten.

Diese Informationen bilden die Grundlage für die spätere Beurteilung von Auffälligkeiten.

Verhaltensbezogene Referenzwerte

Die AMLA führt faktisch das Konzept verhaltensbezogener Referenzwerte ein. Jeder Kunde besitzt ein erwartetes Verhaltensmuster.

Das Monitoring soll prüfen, ob tatsächliches Verhalten von diesem Muster abweicht.

Dabei gilt: Eine Transaktion ist nicht deshalb auffällig, weil sie ungewöhnlich erscheint.

Sie ist auffällig, wenn sie nicht zum bekannten Kundenprofil passt.

Damit rückt das Kundenverständnis in den Mittelpunkt des Monitorings.

Peer Groups und Referenzgruppen

Die AMLA erlaubt die Verwendung von Vergleichsgruppen.

Dabei können Kunden mit ähnlichen Eigenschaften zusammengefasst werden.

Allerdings macht die AMLA eine wichtige Einschränkung: Peer Groups dürfen das individuelle Kundenverständnis nicht ersetzen.

Ein Kunde kann trotz unauffälliger Peer-Group-Zugehörigkeit ein erhöhtes Risiko aufweisen.

Die individuelle Kundenbetrachtung bleibt daher zwingend erforderlich.

Laufende Aktualisierung von Kundenprofilen

Kundenprofile sind keine statischen Datensätze.

Sie müssen aktualisiert werden, sobald sich relevante Informationen ändern.

Dies betrifft insbesondere:

  • Risikoklassifizierungen,
  • erwartete Aktivitäten,
  • erwartete Transaktionen,
  • Gruppenzugehörigkeiten,
  • Verhaltensmuster.

Eine Aktualisierung darf nicht erst bis zur nächsten periodischen Überprüfung warten.

Zusammenhang zwischen Kundeninformationen und Monitoring

Die AMLA stellt ausdrücklich klar, dass Sorgfaltsmaßnahmen gegenüber Kunden und Monitoring keine voneinander getrennten Prozesse sind.

Monitoring-Ergebnisse müssen Einfluss haben auf:

  • Kundeninformationen,
  • Risikoklassifizierungen,
  • EDD-Maßnahmen,
  • sonstige Risikominderungsmaßnahmen.

Dadurch entsteht ein geschlossener Regelkreis:

Kundeninformationen → Kundenprofil → Monitoring → Risikoanalyse → Aktualisierung der Kundeninformationen → neues Kundenprofil

Genau dieses Zusammenspiel bildet den Kern der AMLA-Logik.

Die zentrale Botschaft der AMLA-Leitlinie 2

Die AMLA betrachtet Monitoring nicht als Überwachung einzelner Transaktionen.

Sie betrachtet Monitoring als kontinuierliche Analyse der Frage: Passt das tatsächliche Verhalten des Kunden zu dem, was wir über diesen Kunden wissen?

Transaktionen sind dabei lediglich ein Teil der verfügbaren Informationen.

Entscheidend ist das Gesamtbild des Kunden.

Genau deshalb rückt die AMLA das Kundenprofil in den Mittelpunkt des gesamten Monitoring Frameworks.

Manuelles, teilautomatisiertes und automatisiertes Monitoring

Die AMLA verfolgt bewusst einen technologieneutralen Ansatz.

Die Leitlinien schreiben keine bestimmte technische Lösung vor.

Stattdessen können Verpflichtete je nach Geschäftsmodell unterschiedliche Monitoring-Ansätze wählen:

  • manuelle Verfahren,
  • teilautomatisierte Verfahren,
  • vollautomatisierte Verfahren.

Die Auswahl des geeigneten Ansatzes muss sich an folgenden Faktoren orientieren:

  • Größe des Instituts,
  • Art der Geschäftstätigkeit,
  • Umfang der Aktivitäten,
  • Transaktionsvolumen,
  • Komplexität der Produkte,
  • Geldwäsche- und Terrorismusfinanzierungsrisiken.

Die AMLA bewertet nicht die Technologie. Sie bewertet die Wirksamkeit.

Ein vollständig automatisiertes System ist daher nicht automatisch besser als ein manuelles System.

Entscheidend ist, ob Risiken angemessen erkannt und behandelt werden.

Manuelle Monitoring-Prozesse

Die AMLA erkennt ausdrücklich an, dass manuelle Verfahren in bestimmten Konstellationen angemessen sein können.

Dies betrifft insbesondere Verpflichtete:

  • mit geringem Transaktionsvolumen,
  • mit begrenztem Zugang zu Transaktionsdaten,
  • ohne eigene Zahlungsabwicklung,
  • mit überschaubaren Kundenstrukturen.

Mögliche manuelle Maßnahmen sind:

  • periodische Überprüfungen,
  • anlassbezogene Überprüfungen,
  • Dokumentenprüfungen,
  • Vorabprüfungen von Aktivitäten,
  • risikobasierte Fallanalysen.

Auch manuelle Verfahren müssen jedoch in der Lage sein, ungewöhnliche oder verdächtige Aktivitäten zu erkennen.

Automatisierte und teilautomatisierte Monitoring-Systeme

Setzt ein Verpflichteter automatisierte oder teilautomatisierte Systeme ein, verlangt die AMLA eine nachvollziehbare Definition von:

  • Regeln,
  • Szenarien,
  • Schwellenwerten,
  • Verhaltensmodellen,
  • Risikoparametern.

Diese Systeme müssen geeignet sein, relevante Geldwäsche- und Terrorismusfinanzierungsrisiken zu erkennen.

Darüber hinaus fordert die AMLA eine laufende Überprüfung der Systemkonfigurationen.

Änderungen an:

  • Regeln,
  • Parametern,
  • Szenarien,
  • Modellen,

müssen dokumentiert, getestet und nachvollziehbar freigegeben werden.

Standardsoftware und externe Anbieter

Viele Institute nutzen Monitoring-Lösungen externer Anbieter.

Die AMLA stellt hierzu eine wichtige Anforderung auf: Standardkonfigurationen dürfen nicht ungeprüft übernommen werden.

Jedes Institut muss beurteilen:

  • ob die Konfiguration zum eigenen Geschäftsmodell passt,
  • ob die Schwellenwerte angemessen sind,
  • ob die Szenarien die relevanten Risiken tatsächlich abdecken.

Die Verantwortung verbleibt stets beim Verpflichteten.

Ein Verweis auf den Softwareanbieter entbindet nicht von regulatorischer Verantwortung.

Alert-Management

Ein zentraler Bestandteil des Monitoring Frameworks ist das Alert-Management.

Alerts müssen:

  • zeitnah bearbeitet,
  • priorisiert,
  • analysiert,
  • dokumentiert,
  • eskaliert werden.

Die AMLA fordert ausdrücklich eine risikobasierte Priorisierung. Nicht jeder Alert besitzt die gleiche Bedeutung.

Ressourcen sollen dort eingesetzt werden, wo die höchsten Risiken bestehen.

Bearbeitung von Monitoring-Ergebnissen

Monitoring-Ergebnisse dürfen nicht lediglich erzeugt werden. Sie müssen bewertet werden.

Die AMLA verlangt insbesondere:

  • nachvollziehbare Entscheidungswege,
  • Dokumentation der Analyse,
  • Begründung der Ergebnisse,
  • klare Verantwortlichkeiten.

Institute müssen jederzeit erklären können:

  • warum ein Alert geschlossen wurde,
  • warum eine Eskalation erfolgt ist,
  • warum keine Verdachtsmeldung abgegeben wurde.

Rückstände und Bearbeitungsstau

Ein häufig unterschätztes Thema ist der Umgang mit Bearbeitungsrückständen.

Die AMLA fordert Mechanismen zur:

  • Erkennung von Rückständen,
  • Überwachung von Bearbeitungszeiten,
  • Priorisierung offener Fälle.

Ein Monitoring-System gilt nicht allein deshalb als wirksam, weil es Alerts erzeugt.

Es muss auch sicherstellen, dass diese zeitnah und angemessen bearbeitet werden.

Automatisierte Alert-Schließung

Die AMLA erlaubt grundsätzlich die automatisierte Schließung bestimmter Alerts.

Dies gilt jedoch nur unter strengen Voraussetzungen.

Automatisch geschlossen werden dürfen lediglich Fälle, bei denen:

  • keine ungewöhnlichen Aktivitäten festgestellt werden,
  • keine Verdachtsindikatoren vorliegen,
  • keine erhöhten Risiken bestehen.

Für Hochrisikokunden oder komplexe Sachverhalte ist eine automatisierte Schließung regelmäßig nicht ausreichend.

Darüber hinaus verlangt die AMLA:

  • Stichprobenprüfungen,
  • Validierungen,
  • menschliche Aufsicht.

Die Verantwortung verbleibt auch hier beim Verpflichteten.

Interne Kontrollen

Die AMLA betrachtet das Monitoring Framework als Teil des internen Kontrollsystems. Daher müssen angemessene Kontrollen vorhanden sein.

Diese sollen sicherstellen, dass:

  • Systeme ordnungsgemäß funktionieren,
  • Prozesse eingehalten werden,
  • Risiken angemessen adressiert werden.

Die Kontrollen müssen regelmäßig überprüft werden.

Prüfung der Wirksamkeit (Effectiveness Testing)

Ein besonders wichtiger Aspekt der Leitlinien betrifft die Frage der Wirksamkeit.

Die AMLA lehnt eine rein quantitative Bewertung ausdrücklich ab.

Ein Monitoring-System ist nicht deshalb wirksam, weil:

  • viele Alerts erzeugt werden,
  • viele Verdachtsmeldungen abgegeben werden,
  • viele Szenarien existieren.

Entscheidend ist vielmehr:

  • Werden relevante Risiken erkannt?
  • Werden Auffälligkeiten angemessen bewertet?
  • Werden Verdachtsfälle identifiziert?
  • Werden Risiken rechtzeitig eskaliert?

Qualität geht vor Quantität.

Datenqualität

Die AMLA misst der Datenqualität außergewöhnlich hohe Bedeutung bei. Denn selbst das beste Monitoring-System kann nur so gut sein wie die zugrunde liegenden Daten.

Verpflichtete sollen daher sicherstellen:

  • Vollständigkeit,
  • Aktualität,
  • Richtigkeit,
  • Konsistenz,
  • Nachvollziehbarkeit.

Die AMLA verlangt:

  • Datenvalidierungen,
  • Plausibilitätsprüfungen,
  • Datenbereinigungen,
  • Qualitätskontrollen.

Schlechte Datenqualität wird ausdrücklich als GW/TF-Risiko betrachtet.

Einsatz von Künstlicher Intelligenz und Machine Learning

Die AMLA steht modernen Technologien grundsätzlich offen gegenüber.

Explizit genannt werden:

  • Künstliche Intelligenz (KI),
  • Machine Learning,
  • fortgeschrittene Analytik,
  • innovative Technologien.

Allerdings stellt die AMLA klar: Der Einsatz von KI ist kein Selbstzweck.

Ein KI-System gilt nicht automatisch als wirksam. Entscheidend bleibt die Fähigkeit, relevante Risiken zu erkennen.

Governance für KI-Systeme

Werden KI- oder ML-Systeme eingesetzt, verlangt die AMLA angemessene Governance-Strukturen.

Hierzu gehören:

  • klare Verantwortlichkeiten,
  • Dokumentation,
  • Überwachung,
  • Validierung,
  • Kontrollmechanismen.

Die Entscheidungen des Systems müssen nachvollziehbar sein.

Institute müssen in der Lage sein, Aufsichtsbehörden die Funktionsweise plausibel zu erklären.

Modellrisiken

Die AMLA fordert eine aktive Steuerung von Modellrisiken.

Hierzu zählen insbesondere:

  • Fehlklassifizierungen,
  • Verzerrungen (Bias),
  • mangelnde Robustheit,
  • Leistungsabfall,
  • Model Drift,
  • mangelnde Transparenz.

Modelle müssen regelmäßig überprüft werden.

Externe KI-Anbieter

Werden KI-Lösungen externer Anbieter eingesetzt, muss das Institut sicherstellen, dass ausreichend Informationen über das Modell vorliegen.

Kann die Funktionsweise nicht nachvollzogen werden, sollte das Modell nicht für wesentliche Entscheidungen eingesetzt werden.

Die regulatorische Verantwortung verbleibt beim Verpflichteten.

Die zentrale Botschaft dieses Abschnitts

Die AMLA betrachtet Monitoring-Systeme nicht als technische Werkzeuge. Sie betrachtet sie als Risikomanagement-Systeme.

Technologie ist lediglich ein Mittel zum Zweck.

Entscheidend bleibt stets die Frage: Kann das Institut relevante Risiken der Geldwäsche, Terrorismusfinanzierung oder Sanktionsumgehung wirksam erkennen, bewerten und behandeln?

Die Antwort auf diese Frage bestimmt letztlich, ob ein Monitoring Framework als angemessen und wirksam angesehen wird.

Strategische Auswirkungen für Verpflichtete

Die AMLA-Leitlinien sind weit mehr als eine technische Konkretisierung bestehender Überwachungspflichten.

Sie verändern die Art und Weise, wie Verpflichtete ihre AML/CFT-Architektur konzipieren müssen.

Viele Institute haben ihre Überwachungslandschaft historisch um das Transaktionsmonitoring herum aufgebaut.

Typischerweise existieren getrennte Systeme für:

  • Sorgfaltsmaßnahmen gegenüber Kunden,
  • Transaktionsmonitoring,
  • Sanktionsscreening,
  • PEP-Screening,
  • Adverse Media,
  • Risikoklassifizierung,
  • Verdachtsmeldungen.

Die AMLA verfolgt hingegen ein deutlich integrierteres Zielbild.

Die Leitlinien machen deutlich, dass diese Komponenten künftig nicht mehr isoliert betrachtet werden dürfen.

Stattdessen sollen sie als Teile eines einheitlichen Customer-Lifecycle-Managements fungieren.

Vom Transaktionsmonitoring zum Customer Lifecycle Monitoring

Der wohl wichtigste Paradigmenwechsel der Leitlinien besteht darin, dass die AMLA die laufende Überwachung nicht mehr als Transaktionsmonitoring versteht.

Vielmehr entsteht ein umfassender Kreislauf:

Kundeninformationen → Kundenprofil → Laufende Überwachung → Risikoanalyse → Aktualisierung der Kundeninformationen → Aktualisierung des Kundenprofils → Fortlaufende Überwachung

Dieser Kreislauf läuft während der gesamten Dauer der Geschäftsbeziehung.

Das Kundenprofil wird dabei zum zentralen Bezugspunkt sämtlicher Überwachungsaktivitäten.

Die neue Rolle des Kundenprofils

Historisch wurden Kundenprofile häufig als Onboarding-Artefakt betrachtet.

Nach der AMLA-Logik entwickelt sich das Kundenprofil hingegen zu einem permanent gepflegten Steuerungsinstrument.

Das Kundenprofil bildet künftig die Grundlage für:

  • Risikoklassifizierungen,
  • Monitoring-Szenarien,
  • Erwartungswerte,
  • Auffälligkeitsanalysen,
  • Enhanced Due Diligence,
  • Verdachtsfallbewertungen.

Die AMLA betrachtet das Kundenprofil faktisch als das „Betriebssystem“ des Monitoring Frameworks.

Die Verbindung zwischen Artikel 20 und Artikel 26 GWVO

Besonders bemerkenswert ist die enge Verknüpfung zwischen:

  • Artikel 20 GWVO (Sorgfaltsmaßnahmen gegenüber Kunden)
  • Artikel 26 GWVO (Kontinuierliche Überwachung der Geschäftsbeziehung und Überwachung der Transaktionen von Kunden)

Viele Institute behandeln beide Themen organisatorisch getrennt.

Die AMLA macht jedoch deutlich, dass dies regulatorisch nicht mehr ausreichend ist.

Artikel 20 GWVO definiert die Informationen, die über den Kunden vorliegen müssen.

Artikel 26 GWVO stellt sicher, dass diese Informationen aktuell bleiben und fortlaufend zur Bewertung von Aktivitäten genutzt werden.

Kundeninformationen und Monitoring werden dadurch zu zwei Seiten derselben Medaille.

Die neue Bedeutung von Trigger Events

Die AMLA misst Trigger Events eine zentrale Bedeutung bei. Traditionell dominierten periodische Überprüfungen.

Künftig sollen Ereignisse deutlich stärker in den Mittelpunkt rücken.

Die AMLA geht erkennbar davon aus, dass wesentliche Risikoänderungen typischerweise durch Ereignisse ausgelöst werden:

  • Eigentümerwechsel,
  • neue wirtschaftlich Berechtigte,
  • Änderung der Geschäftstätigkeit,
  • neue Risikoländer,
  • neue Produkte,
  • neue Vermögensquellen,
  • neue Sanktions- oder PEP-Bezüge.

Damit verschiebt sich der Schwerpunkt von kalenderbasierten Überprüfungen hin zu ereignisgesteuerten Überprüfungen.

Auswirkungen auf Datenmanagement

Die Leitlinien führen zwangsläufig zu höheren Anforderungen an Datenmanagement und Datenarchitektur.

Institute müssen künftig sicherstellen, dass:

  • Kundendaten aktuell sind,
  • Daten konsistent sind,
  • Daten vollständig sind,
  • Daten über Systeme hinweg verfügbar sind,
  • Änderungen erkannt werden können.

Die Qualität der Kundendaten wird damit zu einem zentralen Erfolgsfaktor des gesamten GW/TF-Systems.

Auswirkungen auf Governance

Auch die Governance-Anforderungen steigen erheblich.

Institute müssen klar definieren:

  • Verantwortlichkeiten,
  • Eskalationswege,
  • Entscheidungsprozesse,
  • Kontrollmechanismen,
  • Validierungsverfahren.

Insbesondere bei automatisierten oder KI-gestützten Systemen verlangt die AMLA eine nachvollziehbare Governance.

Auswirkungen auf Technologie und KI

Die AMLA signalisiert deutlich, dass moderne Technologien künftig eine größere Rolle spielen werden. Gleichzeitig warnt sie vor einem unkritischen Einsatz.

Nicht die Technologie entscheidet über die Wirksamkeit. Entscheidend bleibt die Fähigkeit, Risiken zu erkennen und zu steuern.

Die Leitlinien schaffen damit einen Rahmen, in dem:

  • klassische Regelwerke,
  • statistische Verfahren,
  • Machine-Learning-Modelle,
  • KI-Anwendungen

nebeneinander bestehen können.

Die wichtigste Umsetzungsfrage für Verpflichtete

Die vielleicht wichtigste Frage lautet:

Kann das Institut jederzeit erklären, warum eine bestimmte Aktivität für einen bestimmten Kunden als normal oder ungewöhnlich eingestuft wurde?

Wenn diese Frage nicht beantwortet werden kann, fehlt häufig:

  • ein aktuelles Kundenprofil,
  • eine ausreichende Datengrundlage,
  • eine nachvollziehbare Risikologik.

Genau diese Defizite sollen durch die AMLA-Leitlinien adressiert werden.

Das Zielbild der AMLA

Betrachtet man die Leitlinien als Ganzes, ergibt sich ein klares Zielbild. Die AMLA möchte kein System, das lediglich Transaktionen überwacht. Sie möchte ein System, das Kunden versteht.

Das gewünschte Zielbild lautet:

  • vollständige Kundenidentifikation,
  • aktuelles Kundenverständnis,
  • laufende Aktualisierung relevanter Informationen,
  • kontinuierliche Risikoanalyse,
  • fortlaufende Überwachung von Transaktionen und Aktivitäten,
  • zeitnahe Erkennung von Veränderungen,
  • risikobasierte Eskalation,
  • nachvollziehbare Dokumentation.

Der eigentliche Gegenstand der Überwachung ist somit nicht die einzelne Transaktion. Der eigentliche Gegenstand der Überwachung ist die gesamte Geschäftsbeziehung.

Die eigentliche Botschaft der AMLA

Die Leitlinien enthalten eine Botschaft, die weit über technische Monitoring-Anforderungen hinausgeht. Viele Institute haben in den vergangenen Jahren enorme Ressourcen in die Optimierung ihrer Transaktionsmonitoring-Systeme investiert.

Die AMLA macht nun deutlich: Ein perfektes Transaktionsmonitoring-System genügt nicht, wenn das Verständnis des Kunden veraltet ist.

Denn eine Transaktion kann nur vor dem Hintergrund eines aktuellen Kundenverständnisses bewertet werden.

Ohne aktuelles Kundenprofil verliert selbst das beste Monitoring-System seinen Kontext.

Key Takeaways

Die AMLA-Leitlinien gemäß Artikel 26 Absatz 5 AMLR markieren einen grundlegenden Wandel des europäischen AML/CFT-Ansatzes.

Die laufende Überwachung wird nicht länger als reine Überwachung von Transaktionen verstanden.

Sie umfasst vielmehr zwei untrennbar miteinander verbundene Komponenten:

  1. Die kontinuierliche Aktualisierung von Kundendokumenten, Kundendaten und Kundeninformationen.
  2. Die fortlaufende Überwachung von Transaktionen und Aktivitäten.

Diese beiden Komponenten bilden gemeinsam das neue europäische Verständnis von Ongoing Monitoring.

Die zentrale Gleichung der AMLA lautet daher:

Laufende Überwachung = Aktualisierung von Kundendaten, Kundeninformationen und Kundendokumenten + Monitoring von Transaktionen und Aktivitäten

Damit entwickelt sich die laufende Überwachung von einem transaktionszentrierten Kontrollmechanismus zu einem kundenzentrierten Customer-Lifecycle-Monitoring-System.

Für Verpflichtete bedeutet dies einen tiefgreifenden Wandel.

Die entscheidende Frage wird künftig nicht mehr lauten: Welche Transaktionen hat der Kunde durchgeführt?

Sondern: Verstehen wir den Kunden heute noch genauso gut wie am ersten Tag der Geschäftsbeziehung?

Genau darin liegt die eigentliche regulatorische Botschaft der AMLA-Leitlinien zu Artikel 26 GWVO.

Downloads

Consultation Paper – Article 26(5) AMLRHerunterladen

Quelle: https://www.amla.europa.eu/policy/public-consultations/consultation-draft-guidelines-ongoing-monitoring-business-relationship_en

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert